MSI Инсталационен Злонамерен Софтуер Атакува Крипто Търговци от Юни 2025

MSI Инсталационен Злонамерен Софтуер Атакува Крипто Търговци от Юни 2025

Сложна кампания със злонамерен софтуер, насочена срещу търговци на криптовалути, е тихо активна от юни 2025 г., използвайки измамно прост, но ефективен трик: твърдо кодиране на SSH идентификационни данни и GitLab токени директно в MSI инсталационни файлове. Операцията вече е компрометирала повече от 90 хоста и е специално разработена да превзема крипто търговски акаунти, комбинирайки системно разузнаване, кийлогване и кражба на данни от браузъра в една координирана верига от атаки. За всеки, който държи или активно търгува с дигитални активи, механиката на тази кампания разкрива защо разчитането само на хардуерен портфейл не е достатъчна защита.

Как Работи Кампанията с MSI Инсталатора: Разузнаване, Кийлогване и Кражба от Браузъра

Атаката започва, когато целта изпълни привидно легитимен MSI инсталатор — стандартния формат за Windows пакети, използван от безброй софтуерни доставчици. Веднъж стартиран, инсталаторът разгръща комплект от злонамерен софтуер с три модула, които работят последователно.

Първият модул извършва системно разузнаване, картографирайки конфигурацията на заразения хост, мрежовата среда и инсталирания софтуер. Този етап дава на атакуващия ясна представа с какво работи, преди да пристъпи към по-дълбоко проникване. Вторият модул активира кийлогър, улавящ всичко, което жертвата въвежда, включително идентификационни данни за вход в борси, кодове за двуфакторно удостоверяване и пароли за портфейли. Третият модул е насочен към данните, съхранени в браузъра, извличайки запазени пароли, сесийни бисквитки и записи за автоматично попълване, които могат да бъдат използвани за заобикаляне на удостоверяването във финансови платформи, без изобщо да е необходима директно паролата за акаунта.

Комбинацията е умишлена. Кийлогването улавя идентификационните данни в движение; кражбата от браузъра ги улавя в покой. Заедно те оставят много малко пропуски.

Защо Твърдо Кодираните Идентификационни Данни са Системен Риск

Това, което прави тази кампания особено забележителна от гледна точка на изследването на сигурността, не е само това, което прави с жертвите, но и това, което разкрива за самите атакуващи. Вграждането на твърдо кодирани SSH идентификационни данни и GitLab токени в инсталатора означава, че злонамереният софтуер носи директна, статична връзка обратно към собствената си бекенд инфраструктура.

Това е провал в оперативната сигурност от страна на атакуващия и не е уникален за тази група. Когато разработчиците — независимо дали изграждат легитимен софтуер или злонамерени инструменти — твърдо кодират токени за удостоверяване в компилирани или пакетирани файлове, тези идентификационни данни стават четими от всеки, който инспектира двоичния файл. За защитниците твърдо кодираните идентификационни данни в злонамерен софтуер могат да разкрият сървъри за командване и контрол, хранилища с код и дори вътрешния работен процес по разработка на заплашителния актьор. За жертвите същият недостатък, който може да помогне на следователите да проследят атакуващите, не предлага никаква защита след като компрометирането вече е настъпило.

Този модел отразява по-широки тенденции при злонамерен софтуер, насочен към облака. Както е описано в репортажа за PCPJack зловреден софтуер, експлоатиращ облачни идентификационни данни, рамките за кражба на идентификационни данни все по-често третират неправилно защитените токени като лесна плячка — независимо дали тези токени принадлежат на жертвите или, в случая, на самите атакуващи.

Кой е Атакуван и Как Крипто Търговците са Конкретно Набелязани

Фокусът на кампанията върху търговците на криптовалути не е случаен. Крипто акаунтите представляват уникално привлекателен профил на цел: те често съдържат значителна ликвидна стойност, транзакциите са необратими след излъчване към блокчейна, и много търговци използват уеб базирани интерфейси за управление на позиции в множество борси едновременно.

Последната точка е критична. Уеб базираната търговия означава, че сесиите, бисквитките и запазените идентификационни данни, съхранени в браузъра, са директен път до достъп до акаунта. Атакуващ, който улови валидна сесийна бисквитка от браузъра, може често да се удостовери в борса, без да задейства подканите за парола или двуфакторно удостоверяване, тъй като самата сесия вече е удостоверена. Компонентът за кийлогване тогава покрива всеки сценарий, при който търговецът се отписва и влиза отново, улавяйки нови идентификационни данни в реално време.

С повече от 90 хоста, вече потвърдени като компрометирани, мащабът на кампанията предполага целенасочена, но постоянна операция, а не широкомащабен подход на „спрей и се моли". Търговците, изтеглили софтуер от неофициални или непроверени източници от юни 2025 г. насам, са изложени на най-голям риск.

Как VPN мрежите, Мениджърите на Идентификационни Данни и Хигиената на Браузъра Намаляват Повърхността на Атака

Нито един инструмент не елиминира риска, който представлява тази кампания, но няколко практики значително намаляват излагането.

VPN не предотвратява изпълнението на злонамерен софтуер, след като вече е на машината, но намалява риска от прихващане на трафик и може да ограничи видимостта на мрежово ниво, която атакуващият получава по време на фазата на разузнаване. По-важното е, че последователното използване на VPN на всички устройства помага да се установи мрежовата хигиена като навик, а не като задна мисъл.

Мениджърите на идентификационни данни адресират един от основните вектори на атака тук: паролите, съхранени в браузъра. Когато идентификационните данни се съхраняват в специализиран, криптиран мениджър, а не в родното хранилище за пароли на браузъра, кражбата на данни от браузъра дава много по-малко използваема информация. Повечето мениджъри на идентификационни данни поддържат и генериране на уникални, сложни пароли за всеки акаунт, което ограничава последиците, ако един набор от идентификационни данни бъде уловен.

Хигиената на браузъра също има значение. Търговците трябва да обмислят използването на специален профил на браузъра — или изцяло отделен браузър — изключително за достъп до борси. Този профил не трябва да съдържа запазени пароли, никакви разширения извън строго необходимото, и трябва да бъде изчистен от бисквитки след всяка сесия. Сесийни бисквитки не могат да бъдат откраднати от сесия, която вече не съществува.

Накрая, дисциплината при инсталирането на софтуер е първата линия на защита. MSI файловете, получени извън официалните сайтове на доставчици или магазини за приложения, носят реален риск. Проверката на хешове на файлове, проверката на подписите на издателите и третирането на всеки инсталатор, изискващ деактивиране на защитния софтуер, като незабавен червен флаг могат да предотвратят първоначалното изпълнение, което прави всичко останало възможно.

Какво Означава Това за Вас

Ако активно търгувате с криптовалута или държите дигитални активи, достъпни чрез уеб базиран интерфейс, тази кампания е директно предупреждение. Хардуерните портфейли защитават средствата в блокчейна, но не защитават акаунтите в борсите — и именно там е предназначен да нанесе щети този злонамерен софтуер.

Започнете с одит на това къде живеят в момента вашите идентификационни данни. Ако паролите ви за борси са запазени в браузър, преместете ги в специализиран мениджър на идентификационни данни и генерирайте нови, уникални пароли за всяка платформа. Прегледайте разширенията на браузъра си и премахнете всичко, което не използвате активно. Проверете историята на изтеглянията си за MSI инсталатори, получени от юни 2025 г. насам от източници, които не можете да проверите.

Нарастващата сложност на операциите за кражба на идентификационни данни — от кампаниите с твърдо кодирани токени, описани тук, до многократната CVE експлоатация, документирана в рамки, насочени към облака — прави проактивната хигиена на идентификационните данни една от най-ефективните налични защити за отделните потребители. Отделянето на час за одит на вашата конфигурация днес е значително по-малко болезнено от възстановяването след превземане на акаунт утре.